日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

巴基斯坦白帽黑客學(xué)生獲谷歌2萬美元漏洞獎勵——發(fā)現(xiàn)了Gmail驗證過程中可致電子郵件賬戶被劫持的漏洞。

目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機(jī)、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計、屏山網(wǎng)站維護(hù)等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

谷歌喜歡給新手程序員、白帽黑客和安全研究人員機(jī)會參與漏洞獎勵項目，來證明他們的技術(shù)和能力，已經(jīng)是眾所周知的事實了。

谷歌Play、Chrome Web 商店或iTunes上現(xiàn)有或最新的應(yīng)用、插件、軟件和操作系統(tǒng)，都是谷歌邀請全球研究人員挖掘漏洞的目標(biāo)。作為回報，成功挖出漏洞者將會收獲一定獎勵。此類項目的核心宗旨，就是讓谷歌的應(yīng)用和系統(tǒng)更加安全。

然而，具備谷歌漏洞獎勵項目(VRP)中選資格并非易事，所發(fā)現(xiàn)的漏洞必須落入以下列出的幾種分類里：

• 跨站腳本
• 跨站請求偽造
• 混合內(nèi)容腳本
• 身份驗證或授權(quán)缺陷
• 服務(wù)器端代碼執(zhí)行漏洞

只要漏洞被驗證有效，黑客最高可獲得2萬美元的谷歌獎勵。

艾哈邁德·麥哈塔布，Security Fuss 首席執(zhí)行官，一名巴基斯坦學(xué)生，最近剛剛獲此獎勵。麥哈塔布發(fā)現(xiàn)了Gmail身份驗證方法中的缺陷。

谷歌漏洞獎勵計劃中艾哈邁德·麥哈塔布的文檔

如果某用戶擁有多個電子郵件地址，谷歌允許用戶關(guān)聯(lián)所有郵件地址，還允許主賬戶的郵件被轉(zhuǎn)發(fā)到從屬賬戶中。

麥哈塔布發(fā)現(xiàn)了谷歌切換和關(guān)聯(lián)郵件地址所采用的驗證繞過方法中存在的固有缺陷，該缺陷可導(dǎo)致郵件ID在以下情況發(fā)生時被劫持：

• 收件人SMTP離線
• 郵箱被收件人停用
• 收件人不存在或是無效電郵ID
• 收件人存在但已屏蔽了發(fā)件人

劫持過程如下：

攻擊者通過給谷歌發(fā)信來驗證某郵件地址所有權(quán)狀態(tài)。谷歌向該地址發(fā)送郵件進(jìn)行確認(rèn)。該郵件地址無法收取驗證郵件，于是，谷歌的郵件被發(fā)回給實際發(fā)件人，而這次，里面帶上了驗證碼。該驗證碼將被黑客利用，郵件地址的所有權(quán)被確認(rèn)。

巴基斯坦黑客因報告安全漏洞獲此大額獎金也不是第一次了。之前，安全研究員拉法·俾路支就因報告Chrome和火狐瀏覽器關(guān)鍵漏洞而獲5千美元漏洞獎勵，還因曝光PayPal服務(wù)器任意指令執(zhí)行漏洞而獲1萬美元。

名稱欄目：Gmail認(rèn)證出現(xiàn)漏洞任何人可劫持任意郵件賬戶
鏈接地址：http://m.5511xx.com/article/dpdpsdp.html